平台
adobe
组件
adobe-experience-manager
修复版本
6.5.6
6.4.9
6.3.4
6.2.1
CVE-2020-9740 是 Adobe Experience Manager (AEM) 中的一个存储型跨站脚本 (XSS) 漏洞。该漏洞允许具有 '作者' 权限的用户在设计导入器相关字段中存储恶意脚本,当受害者打开包含这些字段的页面时,这些脚本可能被执行。此漏洞影响 AEM 6.5.5.0 及更早版本、6.4.8.1 及更早版本、6.3.3.8 及更早版本以及 6.2 SP1-CFP20 及更早版本。已发布补丁,建议升级至 6.5.6 版本。
攻击者可以利用此 XSS 漏洞在受害者的浏览器中执行任意 JavaScript 代码。这意味着攻击者可以窃取用户的 Cookie、重定向用户到恶意网站、篡改页面内容,甚至冒充用户执行操作。由于该漏洞需要 '作者' 权限,因此攻击者可能需要先获得对 AEM 系统的访问权限。成功利用此漏洞可能导致敏感信息泄露、系统被破坏以及用户数据被盗取。该漏洞的潜在影响范围取决于 AEM 系统的配置和部署方式,如果 AEM 系统与关键业务系统集成,则影响范围可能更大。
CVE-2020-9740 已公开披露,并且存在公开的漏洞利用代码。该漏洞被评定为高危漏洞,可能被恶意行为者利用。目前尚未观察到大规模的利用活动,但由于漏洞的严重性和易利用性,建议尽快采取缓解措施。该漏洞已添加到 CISA KEV 目录中,表明其具有较高的安全风险。
Organizations heavily reliant on Adobe Experience Manager for content management, particularly those with large numbers of users with 'Author' privileges, are at significant risk. Environments with legacy AEM configurations or those lacking robust input validation practices are especially vulnerable. Shared hosting environments utilizing AEM also present a heightened risk due to the potential for cross-tenant exploitation.
• linux / server:
journalctl -u adobe-aem -g 'Design Importer' | grep -i 'script' • generic web:
curl -I <aem_url>/design-importer/ | grep -i 'content-type: javascript'disclosure
patch
漏洞利用状态
EPSS
0.48% (65% 百分位)
CVSS 向量
最有效的缓解措施是升级至 6.5.6 或更高版本,该版本包含此漏洞的修复程序。如果无法立即升级,可以考虑以下临时缓解措施:限制 '作者' 角色的权限,只授予其执行必要任务的权限;实施严格的输入验证和输出编码,以防止恶意脚本注入;使用 Web 应用防火墙 (WAF) 过滤潜在的 XSS 攻击;监控 AEM 系统日志,以检测可疑活动。升级后,请验证修复是否成功,例如通过尝试在设计导入器中存储恶意脚本,并确认脚本未被执行。
升级 Adobe Experience Manager 到 6.5.5.0、6.4.8.1、6.3.3.8 和 6.2 SP1-CFP20 之后的版本。这将修复设计导入器组件中的存储型 XSS 漏洞。
漏洞分析和关键警报直接发送到您的邮箱。
CVE-2020-9740 是 Adobe Experience Manager (AEM) 中的一个存储型跨站脚本 (XSS) 漏洞,允许攻击者在受害者浏览器中执行恶意脚本。
如果您运行 AEM 6.5.5.0 及更早版本、6.4.8.1 及更早版本、6.3.3.8 及更早版本或 6.2 SP1-CFP20 及更早版本,则您可能受到影响。
升级至 6.5.6 或更高版本以修复此漏洞。如果无法立即升级,请实施临时缓解措施,例如限制用户权限和实施输入验证。
虽然尚未观察到大规模的利用活动,但由于漏洞的严重性和易利用性,建议尽快采取缓解措施。
请访问 Adobe 安全公告页面:https://www.adobe.com/security/advisories/AdobeSecurityAdvisory_CVE-2020-9740.txt